다중 리전 키로 키 구성 요소 가져오기 - AWS Key Management Service

다중 리전 키로 키 구성 요소 가져오기

고유한 키 구성 요소를 다중 리전 키로 가져올 수 있습니다. 고유한 키 구성 요소로 만든 다중 리전 키는 상호 운용이 가능합니다. 한 리전의 데이터를 암호화하고 관련 다중 리전 키로 다른 리전의 데이터를 복호화할 수 있습니다.

그러나 키 구성 요소를 관리해야 합니다.

  • AWS KMS는 가져온 키 구성 요소가 있는 기본 키의 키 구성 요소를 복제 키로 복사하거나 동기화하지 않습니다. 동일한 키 구성 요소를 관련 기본 키와 복제본 키로 가져와야 합니다.

  • 키 구성 요소를 가져올 때 각 키의 만료 모델과 만료 날짜를 독립적으로 설정합니다. 관련된 다중 리전 키에 대해 동일하거나 다른 만료 모델 및 만료 날짜를 구성할 수 있습니다. 키 구성 요소가 만료 날짜에 가까워지면 키 구성 요소를 영향을 받는 다중 리전 키로 다시 가져와야 합니다.

    관련된 다중 리전 키의 키 상태는 서로 독립적입니다. 예를 들어 기본 키의 키 구성 요소가 만료되면 해당 복제 키는 영향을 받지 않습니다.

복제본 키에 대한 동일한 리전 요구 사항이 가져온 키 구성 요소가 있는 다중 리전 키에 적용됩니다. 동일한 키 구성 요소를 단일 리전 키 또는 관련이 없는 다중 리전 키로 가져오는 경우 이러한 KMS 키는 상호 운용할 수 없습니다.

가져온 키 구성 요소가 있는 다중 지역 키는 키 구성 요소 출처가 EXTERNAL인 대칭 KMS 키여야 합니다. AWS KMS는 비대칭 KMS 키의 가져온 키 구성 요소 또는 사용자 지정 키 스토어의 KMS 키를 지원하지 않습니다. 또한 가져온 키 구성 요소를 사용하여 KMS 키의 자동 키 교체를 활성화할 수 없습니다.

다중 리전 기능 외에도 가져온 키 구성 요소가 있는 다중 리전 키는 가져온 키 구성 요소가 있는 다른 KMS 키와 동일합니다. 가져온 키 구성 요소로 단일 리전 키를 만들고 구성하는 방법에 대한 자세한 내용은 가져온 키 구성 요소 정보 단원을 참조하십시오.

가져온 키 자료가 있는 모든 KMS 키가 상호 운용되지 않는 이유는 무엇입니까?

가져온 키 구성 요소가 있는 단일 지역 KMS 키는 키 자료가 동일하더라도 상호 운용할 수 없습니다. AWS KMS가 KMS 키를 사용하여 데이터를 암호화할 때 일부 키 메타데이터를 암호문에 암호화 방식으로 바인딩합니다. 이렇게 하면 암호화된 데이터가 해당 데이터를 암호화할 수 있는 KMS 키만 암호문을 보호할 수 있습니다.

다중 리전 키는 상호 운용이 가능하도록 설계되었습니다. 키 구성 요소가 같을 뿐만 아니라 키 ID 및 기타 메타데이터가 동일합니다. 따라서, 그들이 생성하는 암호문은 관련된 다중 리전 키에 의해 복호화할 수 있습니다. 따라서 다중 리전 키의 신뢰 속성은 단일 리전 키의 신뢰 속성과 다릅니다. 그러나 일부 고객의 경우 여러 리전에서 복호화하는 것이 단일 AWS 리전의 단일 KMS 키에 의존하는 암호문보다 더 보안상의 이점이 큽니다.

가져온 키 구성 요소를 사용하여 기본 키 구성 요소 만들기

가져온 키 구성 요소를 사용하여 기본 키를 만들려면 키 구성 요소 없이 기본 키를 만드는 것으로 시작합니다. 그런 다음 키 구성 요소를 기본 키로 가져옵니다.

키 구성 요소가 없는 다중 리전 기본 키를 생성하는 절차는 키 구성 요소가 없는 단일 리전 키를 생성하는 절차와 거의 동일합니다. 유일한 차이라면 다중 리전 키와 외부 키 구성 요소를 모두 지정한다는 점입니다.

가져온 키 구성 요소로 다중 리전 기본 키를 생성하기 위한 권한은 IAM 정책의 kms:CreateKeyiam:CreateServiceLinkedRole 권한을 포함하여 AWS KMS 키 구성 요소로 다중 리전 기본 키를 생성하는 데 필요한 권한과 동일합니다. kms:MultiRegionKeyTypekms:KeyOrigin 조건 키를 사용하여 다중 리전 기본 키 생성 권한을 허용하거나 거부할 수 있습니다.

AWS KMS 콘솔에서 기본 키를 생성할 때 고급 옵션 섹션의 설정을 사용합니다. 키 구성 요소 출처(Key material origin)외부(External)로 설정합니다. 다중 리전 복제(Multi-Region replication)이 키를 다른 리전으로 복제하도록 허용(Allow this key to be replicated into other Regions)으로 설정합니다. KMS 키가 생성된 후에는 이러한 속성을 변경할 수 없습니다.

API 작업을 사용할 때 OriginMultiRegion 매개변수를 사용하여 외부 키 구성 요소 출처가 있는 다중 리전 키를 생성하세요.

$ aws kms create-key --origin EXTERNAL --multi-region true

그 결과 키 구성 요소가 없고 키 상태가 PendingImport인 다중 리전 기본 키가 생성됩니다.

이 KMS 키를 사용하려면 퍼블릭 키를 다운로드하고 토큰을 가져오고 퍼블릭 키를 사용하여 키 구성 요소를 암호화한 다음 키 구성 요소를 가져와야 합니다. 지침은 AWS KMS 키에서 키 구성 요소 가져오기 섹션을 참조하십시오.

가져온 키 구성 요소를 사용하여 복제본 키 생성

AWS KMS 콘솔에서 또는 AWS KMS API 작업을 사용하여 다중 리전 복제본 키를 생성할 수 있습니다. 가져온 키 구성 요소가 있는 다중 리전 기본 키를 복제하려면 AWS KMS 키 구성 요소가 있는 복제본 키를 생성하는 데 사용하는 것과 동일한 절차를 사용합니다. 그러나 결과는 다릅니다. 기본 키와 동일한 키 구성 요소가 있는 복제 키를 반환하는 대신 복제 프로세스는 키 구성 요소가 없고 키 상태가 PendingImport인 복제 키를 반환합니다. 복제본 키를 사용하도록 설정하려면 기본 키로 가져온 것과 동일한 키 구성 요소를 복제본 키로 가져와야 합니다.

키 구성 요소를 복제하지는 않지만 AWS KMS는 기본 키와 동일한 키 ID, 키 사양, 키 사용키 구성 요소 출처를 사용하여 복제 키를 생성합니다. 또한 복제 키로 가져오는 키 구성 요소가 기본 키로 가져온 키 구성 요소와 동일한지 확인합니다.

키 구성 요소를 가져와서 복제본 키를 만들려면

  1. 키 구성 요소를 가져와서 다중 리전 기본 키를 만듭니다.

  2. 다음 중 하나를 수행하십시오.

    AWS KMS 콘솔에서 가져온 키 구성 요소가 있는 다중 리전 기본 키를 선택합니다. 그런 다음 리전 구분(Regionality) 탭에서 새 복제본 키 생성(Create new replica keys)을 선택합니다. 지침은 복제본 키 생성(콘솔) 섹션을 참조하십시오.

    또는 ReplicateKey 작업을 수행합니다. KeyId 파라미터의 경우 가져온 키 구성 요소가 있는 다중 리전 기본 키의 키 ID 또는 키 ARN을 입력합니다. 지침은 복제본 키 생성(AWS KMS API) 섹션을 참조하십시오.

  3. 각각의 새 복제본 키에 대해 퍼블릭 키를 다운로드하고 토큰을 가져오는 단계를 따릅니다. 퍼블릭 키를 사용하여 기본 키의 키 구성 요소를 암호화한 다음 복제 키에서 기본 키의 키 구성 요소를 가져옵니다. 각 복제본 키에 대해 서로 다른 퍼블릭 키가 필요하고 토큰을 가져와야 합니다.

    복제본 키로 가져오려는 키 구성 요소가 기본 키와 동일한 키 구성 요소가 아닌 경우 작업이 실패합니다. AWS KMS는 만료 모델과 만료 날짜를 조정할 필요가 없지만 다중 리전 키에 대한 비즈니스 규칙을 설정할 수 있습니다. 지침은 AWS KMS 키에서 키 구성 요소 가져오기 섹션을 참조하십시오.

가져온 키 구성 요소로 키를 복제할 수 있는 권한

가져온 키 구성 요소를 사용하여 복제본 키를 생성하려면 다음과 같은 권한이 있어야 합니다.

기본 키 리전에서:

  • 기본 키에서 kms:ReplicateKey(기본 키의 리전에서). 기본 키의 키 정책 또는 IAM 정책에 이 권한을 포함합니다.

복제본 키 리전에서: